Verwalten des Unity Catalog-Objektbesitzes

Jedes sicherungsfähige Objekt in Unity Catalog verfügt über eine*n Besitzer*in. Besitzer*innen können beliebige Prinzipale sein: Benutzer*innen, Dienstprinzipale oder Kontogruppen. Der Prinzipal, der ein Objekt erstellt, wird zum ursprünglichen Besitzer. Der Besitzer eines Objekts verfügt über alle Berechtigungen für das Objekt, z. B. SELECT und MODIFY für eine Tabelle, zusätzlich zu der Berechtigung, anderen Prinzipalen Berechtigungen zu erteilen. Der Besitzer eines Objekts kann das Objekt ablegen.

Besitzerberechtigungen

Den Besitzern eines Objekts werden automatisch alle Berechtigungen für dieses Objekt und für alle untergeordneten Objekte gewährt. Darüber hinaus können Objektbesitzer Berechtigungen für das Objekt selbst und für alle untergeordneten Objekte gewähren. Dies bedeutet, dass Besitzer*innen eines Schemas nicht automatisch über alle Berechtigungen für die Tabellen im Schema verfügen. Doch Sie können selbst sich Berechtigungen für die Tabellen im Schema erteilen.

Hinweis

Es gibt eine Ausnahme von der Regel, dass Besitzer alle Berechtigungen für ein Objekt haben: Um eine versehentliche Datenexfiltration zu vermeiden, verfügen Schemabesitzer standardmäßig nicht über die EXTERNAL USE SCHEMA-Berechtigung. Siehe Steuern des externen Zugriffs auf Daten in Unity Catalog.

Metastore- und Katalogbesitz

Metastore-Administrator*innen sind die Besitzer*innen des Metastores. Die Metastore-Administratorrolle ist optional. Metastore-Administrator*innen können den Besitz des Metastores neu zuweisen, indem sie die Metastore-Administratorrolle übertragen. Weitere Informationen finden Sie unter Zuweisen von Metastore-Administrator*innen.

Wenn Ihr Arbeitsbereich automatisch für Unity Catalog aktiviert wurde, wird der Arbeitsbereich standardmäßig an einen Metastore angefügt, und für Ihren Arbeitsbereich im Metastore wird ein Arbeitsbereichskatalog erstellt. Arbeitsbereichsadministrator*innen sind die Standardbesitzer*innen und können den Besitz des Arbeitsbereichskatalogs neu zuweisen. In diesen Arbeitsbereichen ist standardmäßig kein Metastore-Administrator zugewiesen, aber Kontoadministratoren können bei Bedarf Metastore-Administratorrollen erteilen. Weitere Informationen finden Sie unter Metastoreadministrator*innen.

Weitere Informationen zu Administratorberechtigungen in Unity Catalog finden Sie unter Administratorberechtigungen in Unity Catalog.

Anzeigen von Objektbesitzer*innen

Sie können Katalog-Explorer oder SQL-Anweisungen verwenden, um den Besitzer eines Objekts anzuzeigen.

Erforderliche Berechtigungen: Jeder Benutzer mit den Berechtigungen für das BROWSE-Objekt oder ein übergeordnetes Objekt des Objekts kann den Objektbesitzer anzeigen.

Katalog-Explorer

  1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Symbol „Katalog“ Katalog.

  2. Wählen Sie das Objekt aus, z. B. einen Katalog, ein Schema, eine Tabelle, eine Sicht, ein Volume, einen externen Speicherort oder Speicheranmeldeinformationen.

    Die Navigation zum Objekt hängt vom Objekt ab. Kataloge, Schemas und die Inhalte von Schemas (z. B. Tabellen und Volumes) können im linken Katalogbereich ausgewählt werden. Sie können andere Objekte, z. B. externe Speicherorte oder Delta-Freigabefreigaben, finden, indem Sie über dem Katalogbereich auf das Zahnradsymbol-Zahnradsymbol klicken und die Objektkategorie im Menü auswählen.

    Für die meisten Objekte wird der Besitzer auf der Registerkarte Übersicht auf der Seite „Objektdetails“ angezeigt. Bei einigen Objekten, z. B. externen Speicherorten, wird sie oben auf der Objektdetailseite angezeigt.

SQL

Führen Sie den folgenden SQL-Befehl in einem Notebook oder SQL-Abfrage-Editor aus. Ersetzen Sie folgende Platzhalterwerte:

  • <securable-type>: Der Typ des sicherungsfähigen Objekts, z. B CATALOG oder TABLE
  • <catalog>: Der übergeordnete Katalog, wenn Sie ein Schema oder den Inhalt eines Schemas anzeigen.
  • <schema>: Das übergeordnete Schema, wenn Sie den Inhalt eines Schemas anzeigen, z. B. eine Tabelle oder Ansicht.
  • <securable-name>: Der Name des sicherungsfähigen Objekts
DESCRIBE <securable-type> EXTENDED <catalog>.<schema>.<securable-name>;

Übertragen des Besitzes

Sie können Katalog-Explorer oder SQL-Anweisungen verwenden, um den Besitzer eines Objekts anzuzeigen.

Berechtigungen erforderlich: Sie können den Objektbesitz übertragen, wenn Sie der aktuelle Besitzer, ein Metastore-Administrator oder der Besitzer des Containers sind (der Katalog für ein Schema, das Schema für eine Tabelle). Delta Sharing-Freigabeobjekte sind eine Ausnahme: Prinzipale mit dem USE SHARE- und SET SHARE PERMISSION-Privilegien können auch das Eigentum für die Freigabe übertragen.

Hinweis

Um eine Rechteausweitung zu verhindern, kann nur ein Metastore-Administrator den Besitz einer Ansicht, einer Funktion oder eines Modells an einen Benutzer, einen Dienstprinzipal oder eine Gruppe im Konto übertragen. Aktuelle Besitzer sind auf die Übertragung des Besitzes an ihren Benutzernamen oder an eine Gruppe beschränkt, in der sie Mitglied sind.

Katalog-Explorer

  1. Klicken Sie in Ihrem Azure Databricks-Arbeitsbereich auf Symbol „Katalog“ Katalog.

  2. Wählen Sie das Objekt aus, z. B. einen Katalog, ein Schema, eine Tabelle, eine Sicht, einen externen Speicherort oder Speicheranmeldeinformationen.

    Die Navigation zum Objekt hängt vom Objekt ab. Kataloge, Schemas und die Inhalte von Schemas (z. B. Tabellen und Volumes) können im linken Katalogbereich ausgewählt werden. Sie können andere Objekte, z. B. externe Speicherorte oder Delta-Freigabefreigaben, finden, indem Sie über dem Katalogbereich auf das Zahnradsymbol-Zahnradsymbol klicken und die Objektkategorie im Menü auswählen.

    Für die meisten Objekte wird der Besitzer auf der Registerkarte Übersicht auf der Seite „Objektdetails“ angezeigt. Bei einigen Objekten, z. B. externen Speicherorten, wird sie oben auf der Objektdetailseite angezeigt.

  3. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“ neben dem Besitzer.

  4. Suchen und auswählen einer Gruppe, eines Benutzers oder eines Dienstprinzipals.

  5. Klicken Sie auf Speichern.

SQL

Führen Sie den folgenden SQL-Befehl in einem Notebook oder SQL-Abfrage-Editor aus. Ersetzen Sie folgende Platzhalterwerte:

  • <securable-type>: Der Typ des sicherungsfähigen Objekts, z. B. CATALOG oder TABLE. METASTORE wird nicht als sicherungsfähiges Objekt in diesem Befehl unterstützt.
  • <securable-name>: Der Name des sicherungsfähigen Objekts Wenn Sie ein Schema oder den Inhalt eines Schemas ändern, müssen Sie den vollständigen dreistufigen Namespace (catalog.schema.object) verwenden, es sei denn, Sie haben den übergeordneten Katalog und/oder das Schema bereits angegeben.
  • <principal> ist ein Benutzer, Dienstprinzipal (dargestellt durch seinen „applicationId“-Wert) oder eine Gruppe. Sie müssen Benutzerkonten, Dienstprinzipale und Gruppennamen, die Sonderzeichen in Backticks (` `) enthalten, einschließen. Siehe Prinzipal.
ALTER <securable-type> <securable-name> OWNER TO <principal>;

So übertragen Sie beispielsweise den Besitz der Tabelle orders an die Gruppe accounting:

ALTER TABLE mycatalog.myschema.orders OWNER TO `accounting`;